GUARDA QUIhttps://www.accademiaitalianaprivacy.it/assets/images/immagineFB.jpg

Dettaglio news
Errori e problematiche nell'applicazione del GDPR: i casi più ricorrenti


mercoledì 28 novembre 2018
Avv. Gianni Dell’Aiuto





Anche per chi ritiene di essersi completamente adeguato alle previsioni del GDPR, è purtroppo abbastanza “semplice” infrangerne le precise disposizioni ed andare incontro alle sanzioni previste dall’UE - che, ricordiamo, spaziano da una semplice diffida amministrativa fino al pagamento di somme a sei zeri o, per le compagnie più grandi, fino al 4% del fatturato annuale complessivo. Alcuni tra gli errori più comuni che possono portare a compromettere la conformità di un’azienda al GDPR sono ad esempio i seguenti, che specifichiamo a fine di consapevolezza, ma anche per mettere in allerta il lettore che la compliance al GDPR è un processo, non un "momento".

Policy non conformi.
È possibile che le policy adottate non siano in realtà conformi al GDPR. Il caso forse più frequente è il rischio in cui incorre chi opta per il "fai da te" e si rivolge, semplicemente, a un - pur bravo- tecnico di computer: in tali casi si ritiene spesso che sia sufficiente installare un buon antivirus a protezione dei dati e delle reti e usare informative raccolte in rete. La probabilità per chi opta per questa strada di non essere in grado di adeguare le proprie policy al regolamento UE si fa molto alta. Pur sconsigliando nettamente questa strada, a coloro che volessero usare questo sistema -assumendosene le responsabilità-, si può sempre dare il consiglio di consultare le policy GDPR redatte da una delle tante multinazionali che operano nell’UE e, comunque, rivolgersi ad un legale.

Policy conformi, ma non adottate.
Le policy adottate sono conformi ma non vengono rispettate: ecco un’altra situazione ricorrente. In questo caso le policy vengono formalmente adeguate al GDPR, ma non ne consegue fattiva applicazione. Ricordiamo che ciò che l’azienda dichiara deve corrispondere alla realtà per poi trovare effettivo riscontro nei fatti. Per evitare questo rischio ogni azienda deve vigilare sulla corretta esecuzione delle mansioni relative al GDPR da parte degli incaricati, fornire un’adeguata formazione ma anche (e consigliamo di farlo anche a coloro che non avrebbero l'obbligo legale di nomina) di  affidarsi ad un DPO qualificato.

Un provider o altre aziende con le quali si collabora non sono conformi al GDPR.
È un rischio da non sottovalutare, in quanto è normale che un’azienda si appoggi a parti terze proprio per la gestione di dati: l’utilizzo di un servizio di analisi dati o backup è il tipico esempio di servizi “esterni” che coinvolgono la gestione dei dati. Anche se è possibile per l’azienda tutelarsi legalmente, a seguito di problematiche come un furto dati, il GDPR prevede sanzioni anche per l'azienda principale, dato che essa viene comunque ritenuta colpevole di non aver vagliato e vigiliato sulla conformità o meno dei partner e dei terzi. E’ un’attività che in molti non faranno a loro rischio, ma al momento dell’instaurazione di un rapporto contrattuale o altro con terzi, è opportuno accertarsi che questi si siano adeguati a loro volta al GDPR e non si siano, ad esempio, riservati la facoltà di rivolgersi per il trattamento dati a aziende non UE.

Dati: l’interessato (cliente, fornitore) non può modificare i dati.
Il GDPR prevede che l’utente sia messo in grado di esercitare il diritto di controllare e modificare i propri dati: ovviamente il Regolamento prescrive le linee di indirizzo e obbligo, ma non tiene conto delle problematiche dal lato delle aziende nonostante ve ne siano molteplici. Possono, ad esempio, esservi criticità legate al cambio di conto bancario o indirizzo e, nei paesi dove è possibile, perfino di cambio del nome. Sul punto, prescindendo dalle difficoltà operative, va detto che il GDPR specifica che un'azienda non può esimersi dal mettere ogni utente in condizione di poter accedere ai propri dati sui server aziendali. 

In questo breve testo ho voluto trattare soltanto alcuni dei rischi e delle problematiche più comuni, ma che accadono, accadranno e dovranno, per questo, essere affrontate: ovviamente la casistica non si esaurisce qui, anzi. Potranno presentarsi molteplici altre situazioni, alcune anche ai confini del paradosso: si pensi, ad esempio, a quei medici che dovranno prescrivere medicinali o terapie ai figli di coniugi separati e in una situazione di conflitto, o ad aziende che dovranno chiedere ai propri dipendenti di fornire consensi a terze parti per, ad esempio, accedere a servizi quali una mensa o a finanziamenti da enti pubblici.




CONDIVIDI QUESTA PAGINA!